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Uinvention concerne Texecution de programmes et applications, sur 
un dispositif informatique a interface utilisateur (clavier, ecran, carte son, 
5 zone tactile, souris, etc.), par exemple sur une passerelle domestique, 
une machine de vente (machine publique par exemple) ou encore sur un 
terminal de telecommunications (du PC - ordinateur personnel - au 
telephone mobile). 

On connait differentes approches pour ^implementation 
10 d'applications dans les terminaux de telecommunications, 

Ainsi, !e profil Ml DP 2.0. , sur machine virtuelle, met en oeuvre une 
police de securite basee sur des standards ouverts, simple a utiliser, qui ne 
demande rien a Tutilisateur, qui prend en compte les besoins de chaque 
intervenant. du developpement a Texecution (on separe les concepts 
15 d'utilisateur, d'operateur, d'OEM, de tierce partie de confiance). 

II permet de proteger Untegrite et verifier Torigine des applications 
pendant le telechargement et Texecution de celles-ci, de controler I'acces 
aux ressources critiques suivant une politique de securite, d'avertir 
Tutilisateur de ce qui se passe, et peut meme lui demander son avis. 
20 La prise en compte de la politique de securite se fait assez 

simplement, au niveau d'une API a proteger, par un appel a la methode 
« check permission » de la classe « Midlet » (figure 2). 

Ceci demande que la fonction d'appel de fichier MIDP ne soit pas 
accessible directement depuis les programmes MIDP (fonction protected), 
25 La politique de securite de MIDP 2.0 est tres adaptee aux besoins 

des divers intervenants. La possibilite de demander Tavis de Futilisateur 
suivant un certain nombre de criteres (toujours, une fois, pour une session, 
jamais) est tres avantageuse. 

li n'en reste pas moins que son implementation pose deux types de 
30 problemes. 

Jout^ d'a bord, Texecutio n de l a proc edure pr oteg ee se fait d ans le 

meme espace d'execution que le programme appelant, ce qui facilite le 
risque de « fuites ». Imaginons ainsi un service de chiffrement appele par 
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deux midlets simultanement, rien ne garantit si on n'y fait guere attention 
qu'une midlet ne pourra recuperer le contenu de la cle privee utilisee par 
Tautre midlet. 

Le prennier probleme est done un manque de securite, notamment 
5 pour les applications a risque telles que le paiement, la signature ou encore 
par exemple les applications DRIVl, 

Des exploits ont d'ailleurs montre qu'avec une erreur 
d'implementation, on pouvait passer outre ce systeme de permissions. 

Le deuxieme probleme du profil MIDP est pose par les specifications 
10 du profit MIDP lui-meme. II n'est pas adapte a la preuve formelle de 
programmes. Cela pose un probleme dans certains secteurs (notamment 
banquiers) ou une midlet ne peut etre modelisee par des methodes 
formelles, et done ne peut pas etre certifiee par ces methodes. 

En d'autres termes, il n'existe pas de technique permettant de j 
15 prouver, par des methodes formelles, la vaiidite par rapport a des 
specifications d'un programme programme dans ce profil. 

Un autre profil, le profil STIR, est lui plus speciaiement adapte pour ^ 
donner acces a des APIs orientes quant a la securite, telles que Tacces a la 
SIM. ,i 
20 Les machines virtuelles STIP (figure 3) permettent de faire 

fonctionner les programmes speciaiement ecrits pour le profil STIP. 

L'autre force de STIP est que son modele de programmation et ses 
APIs se pretent bien a i'analyse suivant les methodes formelles. Cela a 
permis d'ailleurs de rallier le milieu bancaire a son design, car la conformite 
25 du code aux specifications peut etre prouvee de maniere formelle. 

Aussi le profil STIP, utilise dans le milieu bancaire, est, par ses 
limitations, adapte a la preuve de programmes. 

Toutefois, le profil STIP a ete congu pour des systfemes fermes (on 
nV telecharge pas impunement des applications dont on n'a pas 
30 confiance). 

Ainsi aucun modele de securite n*est mis en place (dans la version 
2.1.1. de la specification), et done toute application STIP (stiplet) peut 
acceder a n'importe quelle API de type STIP deja implementee. 
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Le profil STIP n'est done pas adapte pour la realisation de terminaux 
ou un utilisateur est susceptible de telecharger et mettre en oeuvre des 
applications courantes telles que jeux ou applications utilitaires divers. 

L'invention se donne ici pour but de proposer une configuration 
5 permettant, dans un terminal de telecommunications, de mettre en oeuvre a 
la fois des applications d'utilisateur diverses, et a la fois des applications 
requerrant un haut niveau de securite. 

L'invention vise en outre a faciliter la programmation et la mise en 
oeuvre d'applications, notamment en facilitant ia certification du bon 
10 fonctionnement des applications nouvellement programmees. 

On connaTt certes le principe des telephones mobiles hebergeant 
deux machines virtuelles sous la forme physique de deux processeurs, Tun 
constitues par le terminal lul-meme et Tautre constitue par la carte SIM. 

La carte SIM verifie des exigences de securite elevees, tandis que le 
15 processeur du terminal lui-meme et son contenu sont, eux, accessibles par 
Tutilisateur 

Toutefois une telle implementation presente encore certains 
inconvenient majeurs. 

Ainsi un autre but de Tinvention estde proposer un dispositif, associe 

20 en reseau ou pas, dans lequel un espace securise et un espace non 
securise sont tous deux mis a profit, par exemple en permettant a Tespace 
securise d'acceder aux interfaces utillsateurs telles que clavier ou ecran a ia 
place de Tespace non securise, et a contrario permettre par exemple a 
Tespace non securise d'acceder a une communication securisee avec un 

25 operateur connu pour garantir une telle securite. On citera notamment, en 
tant que tel operateur de securite, les operateurs de telephonie, notamment 
mobile, les banques, les fournisseurs d'objets multimedia a diffusion 
selective ou payante, les operateurs de fourniture de service contre 
signature electronique via iedit dispositii 

30 Des fournisseurs d'objets multimedia a diffusion selective sont 

notamment les « DRM » ( Digital Rights Management, gestibn 'des droits 
sous licence), serveurs qui delivrent un contenu typiquement rnusical,video 
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ou de jeu, sous licence, et sous la forme d'un fichier prevu pour §tre lu sous 
diverses contraintes, par exemple un certain nombre de fois. 

Un but de Unvention est de proposer de tels moyens dans lesquels, 
en outre, on puisse etre certain que les deux espaces d'execution associes 
5 (run a securite plus elevee que Tautre) soient effectivement ceux qui etaient 
destines ou autorise a etre associes Tun a I'autre ab initio. 

Ces buts sont atteints selon Tinvention grace a un dispositif 
informatique a interface utilisateur, comprenant des moyens de mise en 
oeuvre d'une serie d'applications, ces moyens incluant notamment un 

10 espace d'execution macliine virtuelle/profil de fonctionnement, le dispositif 
comportant un second espace d'execution machine virtuelle/profil de 
fonctionnement se distinguant du premier par au moins sa machine virtuelle 
ou son profil de fonctionnement, chaque espace d'execution hebergeant i. 
des applications, les applications du second espace d'execution etant des 

15 applications a degre de securite specifiquement plus eleve que celui des 

applications du premier espace d*execution du fait que ies applications du l. 
premier espace d'execution sont des applications mises en places et 
activees par Tutilisateur du terminal tandis que ies applications du second ^ 
espace d'execution sont des applications non modifiables par I'utilisateur du 

20 terminal, caracterise en ce que les deux espaces d'execution sont heberges 
par un moyen physique de traitement qui est agence pour etre non 
scindable en deux parties sans destruction de ce moyen physique de 
traitement 

On propose egalement selon Tinvention un precede de mise en 
25 oeuvre d'applications au sein d'un dispositif informatique a interface 
utilisateur, le precede faisant appel a des moyens de mise en oeuvre d'une 
serie d'applications, ces moyens incluant notamment un espace d'execution 
machine virtuelle/profil de fonctionnement et un second espace d'execution 
machine virtuelle/profil de fonctionnement se distinguant du premier par au 
30 moins sa machine virtuelle ou son profil de fonctionnement, chaque espace 
d'execution hebergeant des applications, les applications du second espace 
d'execution etant des applications a degre de securite specifiquement plus 
eleve que celui des applications du premier espace d'execution du fait que 
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les applications du premier espace d'execution sont des applications mises 
en place et activees par I'utilisateur du terminal tandis que les applications 
du second espace d'execution sont des applications non modifiables par 
Tutilisateur du terminal, caracterise en ce que les deux espaces d'execution 
5 sont h6berges par un moyen physique de traitement qui est agence pour 
etre non scindable en deux parties sans destruction de ce moyen pfiysique 
de traitement. 

D'autres caracteristiques, buts et avantages de Tinvention 
apparaTtront a la lecture de la description detaiiiee qui va suivre, faite en 
10 reference aux figures annexees sur lesquelles : 

- la figure 1 est un schema illustrant une implementation MIDP selon 
I'art anterieur ; 

- la figure 2 est un schema illustrant la mise en oeuvre de moyens de 
protection dans une telle implementation MIDP ; 

15 - la figure 3 est un schema illustrant une implementation STIR, 

conforme a I'art anterieur ; 

- la figure 4 illustre une configuration fonctionnelle d'un terminal 
conforme a Tinvention, selon une variante preferentielle. 

Le mode particulier de realisation que Ton decrira maintenant permet 
20 de beneficier du meilleur des deux techniques MIDP et STIP, donnees a 
titre d'exemple, au sein d'un environnement d'execution coherent. 

On y constitue le profll « utiiisateur », le profil MIDP. Ce profil est tres 
populaire dans le monde mobile pour la creation de jeux et d'applications 
utiiitaires diverses, L'utilisateur peut ainsi telecharger et executor des 
25 applications qu'il trouve sur le reseau, comme 11 le ferait avec un telephone 
MIDP courant. Le profil MIDP inclut done ici des applications mises en 
place et activees par l'utilisateur lui-meme. 

Le profil STIP constitue ici un profil additionnel, et plus 
specifiquement un profil « operateur ». Le profil STIP est tres adapte aux 
30 applications qui demandent un haut niveau de securite, telles que les 
applicatibris ' bancaires. AirisI, les consortiums bancaires oht dej^ fait 
confiance en la possibilite de certifier des applications STIP par des 
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methodes formelles pour ies implementer dans des terminaux de paiement 
electronique (TPE). 

La presents invention permet done de fournir aux developpeurs un 
ensemble d'API operateur dont Texecution est assuree dans un espace 
5 d'execution approprie a la programmation aisee par ces developpeurs, 
espace de meme profil ou non, totalement distinct 

Ce mode de realisation permet done a Toperateur de fournir un lot 
d'applications securisees, telles que paiement, de signature ou encore de 
DRM, totalement independant du profil d'execution des applications 

10 « courantes ». 

Le terminal represents en figure 4 inclut et fait fonctionner en 
harmonie deux machines virtuelies 100 et 200 de profil distincts P1 et P2 
(ou non). Uune 100 des deux machines est dediee aux applications 
utilisateurs, Tautre 200 aux applications de Toperateur. 

15 Les profils correspondants P1 et P2, ici respectivement le profil ^ - 

Ml DP et le profil STIP, sont ici eux-memes dedies respectivement aux 
applications utilisateur et aux applications operateur. i 
A la figure 4, on a represents ainsi deux machines virtuelies 100 et > 
200. <i 

20 La machine virtuelle « utilisateur » 100 est mise a disposition de 

[■utilisateur pour telecliarger, installer, desinstaller, executor, stopper, 
comme bon lui semble des applications dans le profil MiDP. Les 
applications 110 qui y tournent utilisent TAPI 120 de ce profil, ainsi qu'une 
API « stub » au meme profil que celui de la machine 100, cette API stub 

25 etant referencee 130 sur la figure 4. 

La deuxieme machine, referencee 200, est la machine virtuelle 
« operateur » : seul I'operateur, par exemple Toperateur de telephonie 
mobile ou encore I'operateur internet (fournisseur d'acces), par un 
mecanisme OTA (Over The Air), peut administrer cet espace d'execution. 

30 II peut y installer, desinstaller, activer, desactiver comme bon lui 

semble des applications 210 ecrites suivant le formalisme du profil 100. Ces 
applications 210 ont acces aux APIs 220 du profil P2 et a une ou plusieurs 
API de haut niveau illustrees sous la reference 230 sur la figure 4. 



1 er depot 
7 

Ces API de haut niveau 230 permettent d'acceder a des services 
offerts par le profil de la machine 100. Uacces aux APIs, que ce soit du 
profil de la machine 200 ou du stub 230 au profil de la machine 100, se fait 
suivant le modele de securite inherent au profil de la machine 200. 
5 UAPI « stub » 130 est une API de haut niveau, exprimee suivant le 

modele de programmation du profil 100, permettant d'acceder a des 
services offerts par le profil P2. L'acces aux APIs, que ce soit au profil de la 
machine 100 ou d'un stub 130 se fait suivant le modele de securite inherent 
au profil P1 de la machine 100. 
10 Le fonctionnement des stubs 130 et 230 est le suivant : 

L'appel a une API du stub 130, 230 est transforme en flux d'octets 
(processus de serialisation, ou marshalling/unmarshalling suivant les 
appellations), 

Ce flux est regu par un manager 140, 240 du profil oppose via un 
15 canal de communication 300, deserialise et converti en Texecution d'une 
procedure dans le profil distant. Le retour d'execution de cette procedure, 
est de nouveau serialise dans le profil distant, et repasse dans le canal de 
communication 300 entre les deux profits PI et P2 des machines 100 et 
200, la reponse est deserialisee dans le profil originel et transformee en 
20 retour d'appel de TAPI « stub ». 

Ainsi, on dispose de deux espaces d'executlon independants 
consistant ici chacun en une machine differente et un profil different, et en 
relation tres etroite par Tintermediaire d*API stub 130 et230. 

, En variante, les deux profils P1 et P2 peuvent etre du meme type, 
25 par exemple deux profils Ml DP ou deux profils STIP pour deux machines 
d iff e rentes. 

On notera egalement que Ton peut adopter deux profils PI et p2 
differents au sein d'une meme machine virtuelle. 

Ce mode de realisation permet done d^offrir une API de paiement 
30 aux developpeurs d'applications MIDP, oD le paiement lui-m§me 
s'effectuera dans le cadre de Tex^cution d'uhe machine virtuelle STIP 



Gontrolee par Toperateur. 
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En d'autres termes, une application MIDP, developp6 aisement, 
pourra offrir un moyen de paiement a l*uti!isateur en faisant fonctionner une 
application de paiement de la machine 200 via le lien de communication 
300. Une application MIDP est done, grace a Tinvention, capable d'offrir une 
5 fonctionnalite de paiement de grande fiabilite, 

Les deux espaces d'executlon, 100 et 200, chacun constitue par un 
couple machine virtuelle/profil d'execution, differents I'un de Tautre par le 
profil ou par la machine virtuelle, sont toutefois tous deux implementes par 
une meme dispositif physique de traitement 400 (meme entite hardware 
10 400), 

Ce dispositif de traitement hebergeant ies deux espaces d'execution 
est unique en ce sens qu'il ne peut etre scinde sans destruction de son 
fonctionnement. 

Ainsi il est impossible de separer physiquement les deux espaces 
15 d'execution, et done egalement impossible d'associer un espace ainsi 
separe avec un autre espace, lui non autorise. . 5 

Un telle realisation sur moyen unique est obtenue par exemple en i 
implementant les deux espaces d'execution sur un m§me circuit integre i 
formant un unique processeur. 
20 On assure ainsi que deux environnements, Tun securise et Tautre 

r 

non securise, sont indissociables. 

La securite proposee par un operateur (telephonie, banque, 
administration a signature, diffuseur multimedia) s'en trouve amelioree, quil 
s'agisse d'empecher des detournements de fonctions de paiement, 
25 d'assurer la confidentialite ou la . non falsification de codes secrets, de 
fiabiliser Tusage d'une signature electronique, ou encore de veiller a 
empecher de depasser des droits d'utliisation limites d'oeuvres payantes. 
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En d'autres termes, une application IVIIDP, developpe aisement, 
pourra offrir un moyen de paiement a i'utiiisateur en faisant fonctionner une 
application de paiement de la machine 200 via le lien de communication 
300. Une application MIDP est done, grace a invention, capable d'offrir une 
5 fonctionnalite de paiement de grande fiabilite. 

Les deux espaces d'execution, 100 et 200. chacun constitu^ par un 
couple machine virtuelie/profil d'execution, differents I'un de {'autre par le 
profil ou par la machine virtuelle, sont toutefois tous deux implementes par 
une meme dispositif physique de traitement 400 (meme entite hardware 
10 400). 

Ce dispositif de traitement hebergeant les deux espaces d'execution 
est unique en ce sens qu'il ne peut etre scinde sans destruction de son 
fonctionnement. 

Ainsi il est impossible de separer physiquement les deux espaces 
15 d'execution. et done egalement impossible d'associer un espace ainsi 
separe avec un autre espace. lui non autorise. 

Un telle realisation sur moyen unique est obtenue par exemple en 
implementant les deux espaces d'execution sur un m§me circuit integre 
formant un unique processeur. 

20 On assure ainsi que deux environnements, I'un securise et I'autre 

non securis6. sont indissociables. 

La s^curite proposee par un operateur (telephonie, banque, 
administration a signature, diffuseur multimedia) s'en trouve amelioree, qu'il 
s'agisse d'empecher des detournements de fonctions de paiement, 

25 d'assurer.la confidentialite ou la non falsification de codes secrets, de 
fiabiliser I'usage d'une signature electronique, ou encore de velller a 
empecher de depasser des droits d'utilisation limites d'oeuvres payantes. 

Avantageusement, les profils P1. P2 de chacun des deux espaces 
d'execution 100. P1. 200. P2 sont respectivement un profil STIP et un profil 

30 faisant partie du groupe constitue des profils STIP, MIDP, OSGI, et « .net ». 
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REVEMDICATIQI3S 

5 1. Dispositif informatique a interface utilisateur, comprenant des 

moyens de mise en ceuvre d'une serie d'applications, ces moyens induant 
notamnnent un espace d'execution machine virtuelle/profil de 
fonctionnement (100, P1, 200, P2), le dispositif comportant un second 
espace d'execution machine virtuelle/profil de fonctionnement (100, P1, 

10 200, P2) se distinguant du premier par au moins sa machine virtuelle (100, 
200) ou son profil de fonctionnement (P1 , P2), chaque espace d'execution 
hebergeant des applications (110, 120, 130, 140, 220, 230), les 
applications du second espace d'execution (100, P1, 200, P2) etant des 
applications a degre de securite specifiquement plus eleve que celui des 

15 applications du premier espace d'execution (100, PI, 200, P2) du fait que 
les applications (110, 120, 130, 2lO, 220, 230) du premier espace 
d'execution (100, PI, 200, P2) sont des applications modifiables par 
I'utilisateur tandis que les applications (110, 120, 130, 210, 220, 230) du 
second espace d'execution (100, PI, 200, P2) sont des applications non 

20 modifiables par Tutilisateur, caracterise en ce que les deux espaces 
d'execution sont heberges par un meme moyen physique de traitement 
(400) qui est agence pour etre non scindable en deux, parties sans 
destruction de ce moyen physique de traitement (400). 

2. Dispositif selon la revendication 1, caracterise en ce que les 
25 appiicatiops (110, 120, 130, 210, 220, 230) du second espace d'execution 

(100, PI, 200, P2) sont des applications modifiables par un operateur de 
securite appartenant au groupe constitue des operateurs de telephonie, 
banques, fournisseurs d'objets multimedia a diffusion selective ou payante, 
operateurs de fourniture de services contre signature electronique via ledit 
30 dispositif, 

3, Dispositif selon la revendication 1 ou la revendication 2, 
caracterise en ce qu'il constitue un terminal telephonique. 
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4. Dispositif selon la revendication 3, caracterise en ce quil constitue 
un terminal de telephonie mobile. 

5. Dispositif selon Tune quelconque des revendications precedentes, 
caracterise en ce qu'il comporte des moyens de communication (130, 230, 

5 300) entre ies deux espaces d'execution (100, P1 , 200, P2). 

6. Dispositif selon la revendication 5, caracterise en ce que les 
moyens de communication (130, 230, 300) entre les deux espaces 
d'execution sont prevus pour autoriser une application (130, 230) d'un des 
deux espaces d'execution a faire appel a des moyens de traitement du 

10 second espace d'execution (1 00, PI , 200, P2). 

7. Dispositif selon Tune quelconque des revendications precedentes, 
caracterise en ce que chacun des deux espaces d'execution inclut au 
moins une API distincte (120, 130. 220, 230). 

8- Dispositif selon Tune quelconque des revendications precedentes, 
15 caracterise en ce que les moyens de communication incluent une API 
« stub » (130, 230) ayant pour role de faire appel a des ressources de 
Tespace d'execution oppose (100, P1, 200, P2), ces ressources mettant en 
oeuvre une selection quant a Tacces a elles-memes en fonction de 
TappHcation (110, 210) les appelant. 
20 9. Dispositif selon Tune quelconque des revendications precedentes, 

caracterise en ce que les moyens de communication entre les deux 
espaces d'execution (100, PI, 200, P2) incluent des moyens mettant en 
oeuvre une serialisation/deserialisation ou un marshalling/unmarshalling. 

10, Dispositif selon Tune quelconque des revendications 
25 precedentes, caracterise en ce que Tun des deux espaces d'execution 

(100, PI, 200, P2) inclut un profil de type STIP. 

11. Dispositif selon Tune quelconque des revendications 
precedentes, caracterise en ce que Tun des deux espaces d'execution 
(100, PI, 200, P2) inclut un profil Ml DP. 

30 12, Dispositif seion Tune quelconque des revendications 

precedentes, caracterise en ce que les profils (PI, P2) de chacun des deux 
espaces d'execution (100, PI, 200, P2) sont respectivement un profil STIP 
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et un profit faisant partie du groups constitue des profits STIP, MIDP, OSGI, 
et « ,net ». 

13. Procede de mise en oeuvre d'applications au sein d'un dispositif 
informatique a interface utilisateur, le procede faisant appel a des moyens 
5 de mise en oeuvre d*une serie d'applications, ces moyens incluant 
notamment un espace d'execution machine virtuelle/profil de 
fonctionnement (100, P1, 200, P2) et un second espace d'execution 
machine virtuelle/profil de fonctionnement (100, P1, 200, P2) se distinguant 
du premier par au moins sa machine virtuelle (100, 200) ou son profil de 

10 fonctionnement (PI, P2), chaque espace d'execution (100, P1, 200, P2) 
hebergeant des applications, les applications du second espace d'execution 
(100, P1, 200, P2) etant des applications a degre de securite 
specifiquement plus eleve que celui des applications du premier espace 
d'execution (100, PI, 200, P2) du fait que les applications (110, 120, 130, 

15 210, 220, 230) du premier espace d^execution (100, P1, 200, P2) sont des 
applications modifiables par Tutilisateur tandis que les applications (tlO, 
120, 130, 210, 220, 230) du second espace d^execution (100, PI, 200, ^P2) 
sont des applications non modifiables par i'utilisateur, caracterise en ce que 
les deux espaces d'execution sont heberges par un meme moyen physique 

20 de traitement (400) qui est agence pour etre non scindable en deux parties 
sans destruction de ce moyen physique de traitement (400). 
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